Computerworld News Service: Sikkerhedseksperter advarer om en ny klasse af sårbarheder, der er blevet døbt 'clickjacking', altså kapring af dine klik. Hermed er enhver browser i fare for angreb.
Detaljerne om de adskillige sikkerhedshuller - ifølge visse kilder er der helt op mod seks forskellige typer - er stadig uklare, idet de eksperter, der præsenterede nogle af deres resultater ved en sikkerhedskonference i sidste uge, bevidst har undladt at offentliggøre en hel del af deres forskning, før mindst en leverandør af webapplikationer har fået tid til at lukke sikkerhedshullerne.
Selvom clickjacking-problemet er blevet forbundet med browsere (brugere af Internet Explorer, Firefox, Safari og Opera, Google Chrome og andre browsere er alle sårbare over for dette angreb), så stikker problemet faktisk langt dybere, ifølge Robert Hansen, som er stifter og topchef for SecTheory og en af de to eksperter, der præsenterede det nyfundne problem ved et halvlukket møde under konferencen OWASP AppSec 2008 forleden.
Påvirker næsten alle
I et interview beskrev han clickjacking som noget svarende til cross-site request-forfalskning, som er en kendt type af sårbarhed og angreb, der også kaldes 'CRSF' eller 'sidejacking'.
Men clickjacking er så anderledes en tilgang, at de nuværende CRSF-sikkerhedsforanstaltninger, der er indbyggede i browsere, websites og internetapplikationer er helt ubrugelige.
"Set oppefra påvirker dette næsten alle," udtaler Hansen.
"Problemet er, at mange af de mennesker, som bruger en masse tid på at forsvare imod cross-site request-forfalskning slet ikke så dette komme. Dette problem fungerer helt anderledes og har konsekvenser, der rækker langt videre. Angribere kan med clickjacking få brugere til at klikke på en knap, hvor de måske ikke kan opnå det samme med JavaScript."
Hansens forskningspartner, Jeremiah Grossman, som er CTO ved WhiteHat Security, forklarer, hvordan angribere kan udnytte clickjacking-sårbarhederne.
"Tænk på enhver knap på ethvert website, internt som eksternt, som man kan få til at fremkomme mellem browservæggene," skriver Grossman i en e-mail.
"Pengeoverførsler hos banker, Digg-knapper, CPC-reklamebannere, Netflix-køer, osv. Listen er praktisk talt uendelig, og disse var forholdsvis harmløse eksempler.
Tag herefter i betragtning, at et angreb usynligt kan holde disse knapper svævende under brugeres musemarkører, så når brugerne tror, de klikker noget, der er at se på skærmen, så klikker de faktisk på, hvad end angriberen har besluttet, de skal klikke på."
Slet alle firewall-regler
Robert Hansen bød ind med et andet eksempel:
"Lad os sige, vi har en trådløs hjemmerouter, som vi har forhåndsgodkendt, før vi klikker os ind på et legitimt website. En angriber kunne her placere en usynlig knap under vores mus, der udsender en ordre til routeren om for eksempel at slette alle firewall-regler. Dette ville give en klar fordel i et angreb."
Hackere ville ikke engang være nødt til at kompromittere et legitimt website for at udføre et clickjacking-angreb igennem dette site, ifølge Hansen.
Der er adskillige mulige løsninger på clickjacking-problemet, men kun en af dem virker særlig fornuftig. "De eneste, der skalerbart kan løse dette problem, er browserleverandørerne," udtaler Hansen.
Han og Grossman har været i kontakt med Microsoft, Mozilla og Apple, som laver Internet Explorer, Firefox og Safari henholdsvis. Sammen står disse virksomheders browsere for over 98 procent af det globale browsermarked ifølge sidste måneds tal fra Net Applications.
Det står dog ikke klart, hvor alvorligt browserleverandørerne har taget advarslen fra Hansen og Grossman, eller hvor hurtigt de vil opdatere deres browsere.
"Alle arbejder på løsninger, men ingen har sagt noget om, at de nødvendigvis vil implementere noget i deres næste versioner," siger Robert Hansen.
Indtil videre er det bedste forsvar mod clickjacking-angreb at bruge Firefox med tilføjelsen NoScript installeret. Brugere af denne applikation vil ifølge Hansen være sikrede mod "en meget stor andel af problemerne - 99,99 procent på nuværende tidspunkt."
I den næste sætning kaldte han dog Firefox/NoScript-løsningen for en nødløsning, der kun er egnet til tekniske brugere.
"Hvis min mor brugte NoScript, ville jeg modtage et væld af opkald om tekniske spørgsmål. Det er ikke den rigtige løsning."
I mellemtiden bør folk dog undgå panik.
"I virkeligheden er der kun et meget lille antal virksomheder, der kan gøre noget ved dette," siger Robert Hansen.
Oversat af Thomas Bøndergaard
